Strela Stealer Malware Targets Microsoft Outlook Users for Credential Theft
Strela Stealer Malware Targets Microsoft Outlook Users for Credential Theft
The cybersecurity landscape has recently been impacted by the emergence of the Strela Stealer malware, a sophisticated infostealer.
gbhackers.com
- 개요
- Strela Stealer infostealer는 2022년 말부터 활동
- 주요 대상 이메일 클라이언트: Microsoft Outlook, Mozilla Thunderbird
- 대규모 피싱 캠페인으로 스페인, 이탈리아, 독일, 우크라이나 사용자 공격
- 공격 기법 및 배포 메커니즘
- 합법적인 송장 형태의 피싱 이메일로 ZIP 파일 전송
- ZIP 내 JScript 파일 실행 유도
- regsvr32 유틸리티로 원격 명령 및 제어(C2) 서버에서 DLL 다운로드·실행
- 다중 레이어 난독화 및 control‑flow flattening 적용으로 분석 난이도 상승
- 작동 및 정보 탈취
- 시스템 로케일 검사로 목표 지역 여부 확인
- Outlook 레지스트리에서 IMAP 사용자, 서버, 비밀번호 복호화
- 탈취된 자격 증명과 시스템 정보, 설치된 애플리케이션 목록을 HTTP POST로 C2 서버 전송
- C2 인프라는 Proton66 OOO 자율 시스템 내 bulletproof hosting 이용
- 위협 행위자 및 대응 현황
- 위협 행위자 ‘Hive0145’는 고도화된 소셜 엔지니어링 및 회피 기법 보유
- Trustwave 보고서에 따르면 불필요한 산술 연산과 정적 임포트 부재로 탐지 회피 강화
- 보안권고
- 이메일 첨부 실행 전 발신자·파일 무결성 철저 검증
- 스크립트 실행 차단 정책 적용 및 regsvr32 사용 모니터링
- EDR 및 샌드박스를 활용한 난독화 코드 분석 체계 구축
- 네트워크 트래픽 분석으로 비정상 HTTP POST 요청 탐지
- 시스템 로케일 설정 검증 및 레지스트리 무결성 점검
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| CISO를 위한 CTEM(지속적 위협 노출 관리) 도입 필요성과 이점 (0) | 2025.04.12 |
|---|---|
| FIN7·FIN8 등 주요 위협 그룹, Ragnar Loader로 지속 접근 및 랜섬웨어 운영 (0) | 2025.04.12 |
| PyPI 악성 패키지 ‘set-utils’, 블록체인 개발자 노리고 이더리움 지갑 개인키 탈취 (0) | 2025.04.12 |
| 북한 APT 'Lazarus', 소셜 엔지니어링 기반 $14억 암호화폐 공급망 해킹 (1) | 2025.04.12 |
| 마이크로소프트, 35년 역사 '퍼블리셔' 2026년 지원 종료 (0) | 2025.04.12 |